Tool knackt Office-Verschlüsselung binnen weniger Minuten

Aufgrund eines Implementierungsfehlers lässt sich die Verschlüsselung aushebeln, mit der Office Dokumente verschlüsselt. Zwar ist diese Erkenntnis nicht neu – und seit 2005 grundsätzlich öffentlich bekannt –, bislang gab es aber (offiziell) keinen praktischen Angriff respektive ein Tool, mit dem sich die Schwachstelle wirklich ausnutzen ließ. Vermutlich hat Microsoft deshalb das Problem auch nie mit einem Update für ältere Office-Versionen gelöst.

Die Lage hat sich nun geändert, wie der französische Krypto-Experte Eric Filiol in seinem Vortrag auf der Sicherheitskonferenz Black Hat betonte: Sein Tool könne innerhalb weniger Minuten ein Dokument entschlüsseln. Filiol beschäftigt sich nach eigenen Angaben sogar schon seit 1994 mit der statistischen Analyse des RC4-Algorithmus in Office. Dass er seine Ergebnisse erst jetzt veröffentlicht, erklärt Filiol gegenüber heise Security so: "Ich war damals noch beim französischen Militär angestellt. Alles, was ich damals machte, war geheim. Heute kann ich gefahrlos darüber sprechen."

Der Krypto-Experte machte sich bei seinen Analysen von RC4-codierten Daten den Umstand zunutze, dass viele Implementierungen des Algorithmus fehlerhaft sind. Damit RC4 zuverlässig kodiert, dürfen Schlüssel keinesfalls mehr als einmal verwendet werden. So ist die bei Wireless LANs einstmals übliche WEP (Wired Equivalent Privacy)-Verschlüsselung vor allem deshalb so gründlich geknackt worden, weil die Menge der zur Schlüsselvariation notwendigen Initialisierungsvektoren (IV) zu gering war: Es tauchten mehrfach Pakete auf, die mit der gleichen Kombination aus IV und ohnehin statischem Passwort kodiert worden waren.

Einen ähnlichen Implementierungsfehler hat Filiol (und Hongjun Wu schon 2005) bei allen Microsoft-Office-Paketen bis einschließlich Version 2003 ausgemacht. Office-Versionen ab 2007 sollen laut Filiol nicht mehr betroffen sein, da Microsoft hier auf den AES-Algorithmus setzt. Relevant ist das Problem trotzdem, da die Vorgängervarianten von Office 2007 vermutlich nach wie vor den größten Marktanteil haben.

Microsofts Fehler beim Einsatz von RC4 ist folgender: Die Schlüssel werden nicht automatisch gewechselt, wenn eine neue Version eines Word-Dokuments oder einer Excel-Tabelle erzeugt wird. Durch den Vergleich zweier solcher zwangsweise mit dem gleichen Schlüssel kodierter Versionen einer Datei kann Filiols Software – die der französische Krypto-Experte jedoch nicht veröffentlichen will – binnen weniger Minuten den Klartext ermitteln.

Laut Filiol muss lediglich eine von den Office-Anwendungen beim Öffnen eines Dokuments automatisch angelegte und ebenfalls verschlüsselte Sicherheitskopie mit dem Originaldokument verglichen werden. Wichtig sei nur, dass sich die Dateien minimal unterscheiden. Bereits ein beim Öffnen der Datei automatisch aktualisiertes Datum genügt, um die zu vergleichenden Dateien genügend variieren zu lassen. Wie der Krypto-Experte ausführt, waren während seiner Tests stets per Datenrettungstool wiederhergestellte *.tmp-Dateien ausreichend, um zum Erfolg zu kommen.

Ob Microsoft, das offenbar vor Filiols Vortrag nicht mit den neuen Ergebnissen konfrontiert wurde, das Problem per Software-Update behebt, ist nicht bekannt. Aus Firmenkreisen war jedoch inoffiziell zu erfahren, dass das Problem nicht schwerwiegend genug sei – zumal Nutzer von Microsoft Office ihre Dateien mit frei verfügbaren Programmen verschlüsseln können.

Siehe dazu auch:

• Schwachstelle in Verschlüsselung bei Microsofts Office-Paket

(dab)